Путаница с соблюдением требований: что означает GDPR для мобильных данных?

Опубликовано: 3 Апреля, 2023
Путаница с соблюдением требований: что означает GDPR для мобильных данных?

Общий регламент по защите данных (GDPR) вступил в силу 25 мая во всех 28 странах-членах ЕС. Набор правил, предназначенных для защиты личной информации граждан ЕС, несоблюдение которых влечет за собой крупный штраф в размере 20 миллионов евро или 4 процента от валового мирового годового оборота, в зависимости от того, что больше. Вопрос в том, как насчет мобильных данных? Что ж, любая компания с глобальной аудиторией, которая включает в себя несколько клиентов из этого региона, должна следовать новому закону. К сожалению, когда дело доходит до мобильных данных, это не так просто, как кажется.

GDPR завладевает мобильными данными

Разговор о влиянии GDPR на мобильную среду уступил место ожиданиям того, что межмашинные и телекоммуникационные данные будут регулироваться Положением об электронной конфиденциальности, новой правовой базой, обновляющей Директиву об электронной конфиденциальности. Однако возникли сложности, поскольку Регламент электронной конфиденциальности не продвинулся дальше черновой формы, в то время как соблюдение GDPR имело место по всему ЕС. Таким образом, Регламент электронной конфиденциальности служит не чем иным, как отвлечением от текущего состояния дел. Поэтому операторы мобильной связи, пользователи и маркетологи должны сосредоточиться исключительно на влиянии GDPR на всю отрасль.

Как мобильные компании намерены действовать

Конечно, логичным решением для компаний было бы создание мобильного плана, который управляет данными и информацией от контактов в ЕС, не приводя всю свою деятельность в соответствие. Однако этот подход порождает множество сложностей, поскольку рассматривать клиентов отдельно в зависимости от их местонахождения сложно. Более того, более жесткие законы о данных неизбежно вступят в силу раньше, чем позже. Таким образом, вместо того, чтобы затягивать процесс, имеет смысл привести все протоколы данных в соответствие прямо сейчас.

Возможные методы обеспечения соответствия требованиям GDPR для мобильных устройств

  1. Улучшите процесс подписки на мобильных устройствах

Большинство мобильных приложений имеют процесс подписки. Когда пользователь включает push-уведомления для приложения, он должен согласиться. GDPR делает шаг вперед, запрашивая у пользователей добровольное согласие на отправку сообщений. Итак, больше никаких предварительно отмеченных ящиков. Кроме того, клиенты должны иметь полное представление о том, как будут использоваться их личные данные. Лучший способ обеспечить 100-процентную прозрачность использования данных — разработать политику в отношении данных и поделиться ею с клиентами.

  1. Запрашивайте разрешения на каждом шагу

Когда пользователь вводит свой идентификатор электронной почты для доступа к чему-то конкретному, например к вебинару или официальному документу, его контактные данные часто добавляются в основной список без его явного разрешения. Но это больше не будет летать по законам GDPR. Политика конфиденциальности должна быть прочитана и понята клиентом, прежде чем он сможет согласиться добавить свое имя в основной список.

  1. Ведение полного списка записей

GDPR требует от компаний вести записи о согласии. Хотя это представляет собой проблему для некоторых организаций, необходимы документы о том, кто дал свое согласие, когда и как. ИТ-команды могут подсказать компаниям, как лучше всего управлять записями.

  1. Удаление данных по запросу

Если компания хочет соблюдать GDPR, она должна предоставить клиентам простой способ отказаться от подписки на услугу. В то же время пользователи могут отказаться и быть забытыми в любой момент. Их данные больше не будут отображаться на серверах, и никакие данные не будут продвигаться вперед.

  1. Оповещение пользователей во время чрезвычайной ситуации

GDPR обязывает компании информировать пользователей о любой утечке данных в течение 72 часов с момента ее возникновения.

Обязанности владельцев мобильных приложений

  1. Личность пользователя
Изображение 10159
Pixabay

Пользователи мобильных приложений должны помнить, что персональные данные — это любая информация о человеке или информация, позволяющая установить личность, которая позволяет идентифицировать человека. Этот принцип оказывается полезным при планировании разработки приложений. Неважно, тесно или напрямую относится информация к данному человеку — если она идентифицирует человека, она должна соответствовать GDPR. Вы узнаете, соответствуют ли ваши решения GDPR, когда для деанонимизации потребуются ресурсы и рабочая сила, непропорциональные собранной информации.

  1. Приложения для разработки контента

Приложения, которые позволяют пользователям разрабатывать контент, могут хранить некоторые личные данные. Это необходимо учитывать при разработке приложения, поскольку каждый пользователь сохраняет за собой право запросить удаление личной информации, которая может привести к его или ее идентификации. Если личные данные субъекта были опубликованы без его согласия, он должен связаться с вашим сотрудником по защите данных.

  1. Участие третьих лиц

Компании, использующие сторонние решения для поддержки разработки мобильных приложений, должны убедиться, что все сторонние решения соответствуют GDPR. Ознакомьтесь с Условиями обслуживания, чтобы узнать, соответствуют ли их сертификаты безопасности требованиям GDPR. В противном случае ваша компания будет нести солидарную ответственность за утечку мобильных данных по вине третьих лиц.

  1. Письменные контракты

Вы можете задаться вопросом, необходим ли письменный договор с третьими сторонами, отвечающими за обработку данных. К счастью, это не является обязательным, поскольку правила предоставляют определенную степень свободы. Они также вводят более широкое понятие «иной правовой акт». Со своей стороны вам необходимо выяснить, есть ли у провайдера, услугами которого вы пользуетесь, сертификат, соответствующий нормам GDPR.

  1. Сотрудник по защите данных

Сотрудники по защите данных не являются обязательными для мобильных компаний. GDPR предлагает определенную степень свободы в этом аспекте. Согласно руководящим принципам, DPO может быть либо сотрудником обработчика, либо контролером, а также сторонним лицом, не входящим в эту группу сотрудников. Это позволяет компаниям пользоваться определенной свободой выбора вариантов, а также способностью снижать затраты.

  1. Вход по электронной почте

Даже если приложение использует только логины и адреса электронной почты без имени и фамилии, они рассматриваются как личные данные. Методы массовой проверки не могут определить, содержит ли идентификатор электронной почты личные данные или нет. Более того, некоторые порталы запрашивают никнеймы, и они могут быть привязаны к другим данным. Итак, если вы не уверены в элементах приложения и в том, могут ли они идентифицировать вашего клиента, готовьтесь к худшему.

  1. Отчеты об ошибках

Если в вашем приложении есть система сообщений об ошибках, убедитесь, что поставщик услуг выполняет все требования GDPR. Кроме того, проверьте, какие данные присутствуют в отчетах и кто может получить к ним доступ.

GDPR — это важное регулирование, которое потребует от мобильных пользователей, операторов и разработчиков приложений изменить свою текущую политику. Конечно, полное внедрение процедур может занять некоторое время. Но после завершения практики мобильных данных пойдут дальше в удовлетворении меняющихся потребностей потребителей и защите их личных данных.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023